2006年9月,北京市海淀法院的一项判决恰恰说明,用户真的要为网上银行账户被盗买单。
工商银行北京海淀西区支行、海淀支行的储户去年9月其银行账户被人通过网上银行支付系统盗取金额6万元,因此将银行告上法庭,法庭以用户不能提供充分证据证明其存款消失是因工行过错导致为由,一审驳回了用户要求工行赔偿其从账上消失的6万余元存款的诉讼请求。 这给此前民间组织“工行网银受害者集体维权联盟”的诉讼前景蒙上了阴影,同时给网上银行的发展也蒙上了阴影,一项没有安全保障的银行业务,试问用户为什么要接受。
网上银行自1998开始在中国发展,2004年以后获得了高速增长,而与此同时,网上银行的安全问题频频爆发,不断有账户财产丢失的报道。对此,局外人也许可以简单的认为:这是“行业成长的代价”。然而如果承担这种代价的是你,那将是难以承受之重。
银行的网络安全技术本来已经无懈可击,以工行为例,采用了一系列先进的安全防范技术,包括多重防火墙、1024位非对称加密算法的证书签名、SSL128位加密传输、实时扫描、实时监控、数据加密存放等;从客户端来说,为了保护客户端的安全,工商银行为客户提供了U盾、电子银行口令卡、防病毒安全控件、余额变动提醒、预留信息验证等一系列安全措施。主要的问题是,网上银行最安全的防线(数字证书)没有得到普及,绝大多数用户仍然是“卡号+口令”的使用者。数字证书的使用者网上银行被盗的可能性极小,即使出现被盗,第三方数字证书认证机构也明确了愿意承担赔偿责任。例如中国金融认证中心的数字证书就承诺受害客户可获赔2万――80万元。既然有这么好的安全保障,用户为什么不采用?
首先,数字证书还不是强制执行的方案,非数字证书用户仍然每天最多可以通过网络支付5000元,用户认为既然银行支持这种服务,其安全性就能够得到保障,数字证书没有得到足够的重视。其次是数字证书的使用成本问题,第三方的数字证书服务是要收取费用的,银行自己的认证系统同样需要用户额外支付费用,例如工行的U盾,用户需要花60―70元购买一个U盾,小额支付的用户往往因为数字证书增加支付成本而不使用。那么用户不使用数字证书是否存在过错?中国目前的网路银行用户中,数字证书使用者在5%以下,数字证书没有普及显然不是个人问题。因此如果银行在明知没有数字证书的情况下,用户在网上的账号、密码可能被盗,仍然为95%的用户提供网上支付服务,银行应当难辞其咎。
在笔者看来,为了网络银行的长远发展,银行应当主动承担因安全问题造成的用户经济损失,以保持用户对这种新兴业务的信心。国外网上银行也同样面临着类似的安全问题,银行往往都是采取积极主动的赔偿措施,而不是将责任推脱给用户。
其实网银被盗问题被炒得沸沸扬扬,导致潜在的用户敬而远之,原有用户诚惶诚恐,对银行甚至整个行业都是一种损失。按照当前网银被盗事故发生的概率,银行完全有能力承担风险,工商银行有2000多万网银用户,而“工行网银受害者集体维权联盟”所公布的受害者也就500人左右,如果人均涉及金额1000元,合计500万,银行为这一业务的成长付出如此的代价,应该比被千夫所指更为合算。如果将行业成长的代价转嫁给本来弱势的用户,则使他们难以承受如此之重。(鲁德明) |